Агентство з кібербезпеки та інфраструктури США офіційно додало свіжу критичну проблему безпеки в системі керування контентом Drupal до свого списку відомих експлуатованих вразливостей. Помилка, що отримала індекс CVE-2026-9082, пов’язана з дефектом у механізмі абстракції бази даних, який зазвичай очищує запити від шкідливих вставок. Атака типу SQL-injection дозволяє анонімним відвідувачам вебсайту надсилати спеціально сформовані мережеві пакети. Це порушує логіку обробки запитів на серверах, які використовують бази даних PostgreSQL.

Хронологія подій показує, що атаки розпочалися менш ніж за 48 годин після первинного релізу виправлень безпеки. Дослідники зафіксували понад 15 000 задокументованих спроб злому з комп’ютерів, розташованих у 65 різних країнах світу. Технічним наслідком успішного виконання такого запиту є підвищення привілеїв у системі аж до адміністратора сайту, несанкціонований доступ до конфіденційної інформації та віддалений запуск команд на сервері. Проблема зачіпає основні гілки Drupal Core, включно з версіями 11.3, 11.2, 11.1, а також старіші редакції 10.x та 9.x.